abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Kritická zranitelnost CVE-2025-49844 v Redisu
    dnes 15:11 | Bezpečnostní upozornění

    V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).

    Ladislav Hagara | Komentářů: 0
    Ministr Jurečka přijal rezignaci ředitele DIA Martina Mesršmída
    dnes 14:00 | IT novinky

    Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.

    Ladislav Hagara | Komentářů: 4
    OpenZL, open source framework pro kompresi dat s ohledem na jejich formát
    dnes 12:33 | Zajímavý software

    Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Google zpřístupňuje českým uživatelům Režim AI (AI Mode)
    dnes 03:33 | IT novinky

    Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.

    Ladislav Hagara | Komentářů: 0
    Python 3.14.0
    včera 18:11 | Nová verze

    Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 2
    Qualcomm kupuje Arduino. Nová deska Arduino UNO Q
    včera 16:33 | IT novinky

    Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

    Ladislav Hagara | Komentářů: 2
    Luanti 5.14.0
    včera 15:55 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    Qt 6.10
    včera 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Ubuntu 26.04 LTS bude Resolute Raccoon
    6.10. 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 5
    Netwide Assembler (NASM) 3.00
    6.10. 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (45%)
     (15%)
     (17%)
     (21%)
     (15%)
     (17%)
     (15%)
     (15%)
    Celkem 196 hlasů
     Komentářů: 13, poslední dnes 07:41
    Rozcestník
    AbcLinuxu
    HDmag.cz
    Bluebear - Bluebearův samožerblog
    Malé nádobky, do kterých strach svůj vylévám, aby mi srdce nežral... (promiň, Karle Havlíčku)
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Seznam mých oblíbených stránek, které pravidelně navštěvuji. Oblíbené stránky
    ?Poslední screenshot mého desktopu. Současný desktop
    Pracovní desktop
    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / Bluebearův samožerblog / DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Štítky: bezpečnost, Debian, distribuce, DNS, DNSSEC, Internet, pod, Provider, restart, spojení, stroj, systemd-resolved, šifrování

    DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved

    16.9.2021 02:32 | Přečteno: 1659× | poslední úprava: 16.9.2021 04:28

    Dneska mi provider poněkud zkur*vil DNSku pod nohama, a jak se říká, nouze naučila Dalibora housti...

    Po nemilém zjištění, že /etc/resolv.conf je již dnes považován za passé (toto samozřejmě neplatí pro Debian, čest jim), jsem prskaje nechutí nastudoval něco málo ze systemd-resolved a se štěstím se mi podařilo nakonfigurovat ho tak, aby používal DNS servery nic.cz a zároveň s DNSSEC a DNS-over-TLS. Nejsem si jist, jak moc je to nové nebo užitečné, ale když už jsem to zjistil, tak to dávám k dispozici.

    Stačí oeditovat /etc/systemd/resolved.conf a změnit tyto čtyři řádky: 

    DNS=193.17.47.1#odvr.nic.cz
FallbackDNS=185.43.135.1#odvr.nic.cz
DNSSEC=yes
DNSOverTLS=yes

    Po restartování systemctl restart systemd-resolved by se už měl stroj ptát na DNS dotazy NICu a jako drobný bonus bude to spojení šifrované. Není to žádná výhra samo o sobě, ale každá kapka šifrování se hodí.

    EDIT: DNSOverTLS=yes může způsobit problém, pokud je potřeba občas dynamicky přidat další DNS, třeba pro VPNku - pokud to další DNSko nepodporuje TLS, nebude vůbec fungovat; v takovém případě nezbývá než nastavit DNSOverTLS=opportunistic, s tím, že TLS se použije jen tehdy, pokud to jde - samozřejmě to otvírá dveře možnosti downgrade útoku :-(

    Děkuji za pozornost.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    Jendа avatar 16.9.2021 10:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    toto samozřejmě neplatí pro Debian, čest jim
    A jak to teda funguje v jiných distribucích? Já myslel, že program (resp. jeho glibc) se podívá do /etc/nsswitch.conf a /etc/resolv.conf a pak se zeptá DNS serveru, který takto najde. Fungovalo to takhle dříve a co se teď změnilo?

    Jediné, co je poslední dobou populární je, že si spustíš nějakou službu, která /etc/resolv.conf spravuje - to vždycky dělal DHCP klient (dává to smysl, pokud chceš používat DNS servery sítě kterou konfiguruješ přes DHCP, a jde to vypnout), pak existoval resolvconf (jehož důvod defaultní přítomnosti na různých Raspbianech jsem nepochopil) a teď se občas dělá to, že se spustí lokální DNS server a do /etc/resolv.conf se zapíše ten. To má spoustu výhod (DNSSEC, možnost použití „soukromých“ TLD a split-horizon DNS třeba ve VPN, cachování) i nevýhod (je to komplikovanější). Uživatelská aplikace ale stále používá ten původní mechanismus dotazování serveru, který si přečetla v /etc/resolv.conf.

    No a Debian s tím souvisí jenom tak, že defaultně tyhle věci neinstaluje/nezapíná.
    16.9.2021 12:20 marbu | skóre: 31 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    +1 Funguje to imho pořád stejně.

    Při nasazení systemd-resolved je /etc/resolv.conf symlink na /run/systemd/resolve/stub-resolv.conf, který systemd-resolved generuje dynamicky.
    There is no point in being so cool in a cold world.
    Bluebear avatar 16.9.2021 15:06 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Se systemd-resolved to je tak, že spouští vlastní lokální DNS server a do /etc/resolv.conf potom dá odkaz na tento (tedy skutečně jedna z možností, které jsi zmiňoval).

    Manuál k systemd-resolved ovšem považuje pouhé čtení /etc/resolv.conf za legacy, protože Pravý Moderní Kód(tm) by se měl dotazovat přes lokální message bus přímo resolved. :) Aspoň tak jsem to pochopil. Ale původní metoda stále chodí (taky by asi vyprovokovali lynč, kdyby to nepodporovali).

    Jedna ze skvělých věcí na debianu je, že řada těchto věcí je opt-in, jak by to mělo být; řada jiných dister je v tomto ohledu ale dosti nekompromisní.
    To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
    16.9.2021 23:04 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Jo. A pak nám klienti píšou, že máme špatně nastavené nameservery. Skutečnost: ta systemd sračka při dopředném překladu vytimeoutuje na překladu reverzu. (No dobře, přibližně, už si přesně nepamatuju, proč se tam tomu člověku ten překlad reverzu dělal, jenom že to rozhodně nebylo potřeba.)

    Hm, tak jsem si to našel. Při práci s poštou (IMAP) se pixla rozhodla, že k něčemu potřebuje reverzy IMAP serveru. Proč? Těžko říct. Každopádně milej systemd rozhodl, že dvě sekundy je na odpověď od DNS serveru dost (v ideálním světě by to tak bylo, v reálném ne) a že cache pro negativní odpovědi je buržoazní přežitek. A klient (životný) nemohl pracovat s poštou, protože poštovní klient (neživotný) čekal a čekal a čekal a čekal.
    Quando omni flunkus moritati
    17.9.2021 08:17 j
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    To vis, to je tak, kdyz neco vymejsli neytelygentnejsi clovek na planete ... ;D

    On totiz kupodivu kdyz nekdo chce lokalni dns, tak si pusti lokalni dns, ale 99% lidi(a adminu) rozhodne nechce provozovat lokalni dns na kazdym stroji, uz jen proto, ze to je dalsi bezpecnostni dira a v tomhle pripade doslova a dopismene jak doprdele.

    ---

    Dete s tim guuglem dopice!
    17.9.2021 10:34 MP
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Nevim do ceho kopete. 2s timeout je i default pro resolv. A jak jsem si vsiml, resolv ani zadnou cache nema.

    Max avatar 18.9.2021 01:08 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Cache pro negativní odpovědi považuji za nejhorší vymoženost. Je to první věc, které se zbavuji.
    Zdar Max
    Měl jsem sen ... :(
    19.9.2021 13:38 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Když myslíte, že je lepší se na to samé ptát furt dokola, tak proti gustu...
    Quando omni flunkus moritati
    Max avatar 20.9.2021 01:30 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Přijde mi to nespolehlivé. Několikrát jsem řešil nefunkčnost některých služeb a vždy to bylo kvůli tomu, že se do negativní cache dostala nějaká doména. Jestli to způsoboval nějaký zlobící prvek, už přesně nevím.
    Zdar Max
    Měl jsem sen ... :(
    20.9.2021 12:10 _
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    nemluv sám se sebou Jirko
    16.9.2021 15:46 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Má stále DNSoverTLS tu vlastnost, že je pořád otevřený jeden šifrovaný tunel s dlouhou životností? Trpělo to potom na to, že když se resolvnulo něco co ztotožnilo uživatele, tak se k němu dají přiřadit všechny ostatní requesty ze session.

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.